Aggiornamenti di sicurezza per Ruby (AL02/250226/CSIRT-ITA)

Data:
26 Febbraio 2025 13:56

Impatto Sistemico

Medio (63.46)

Sintesi

Rilevate tre vulnerabilità, di cui due con gravità “alta”, che interessano la libreria cgi-gem di Ruby, utilizzata per gestire le operazioni di CGI (Common Gateway Interface). Tali vulnerabilità, qualora sfruttate, potrebbero consentire ad un utente malintezionato di compromettere la disponibiltà del servizio sulle istanze interessate.

Tipologia

Denial of Service

Prodotti e versioni affette

cgi gem

tutte le versioni precedenti alla 0.3.5.1
versione 0.3.6
0.4.x, versioni precedenti alla 0.4.2

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare le versioni vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Di seguito sono riportate le sole CVE relative alle vulnerabilità con gravità “alta”:

Riferimenti

https://www.ruby-lang.org/en/news/2025/02/26/security-advisories/

CVE

CVE-ID
CVE-2025-27219	CVE-2025-27220

Change log

Versione	Note	Data
1.0	Pubblicato il 26-02-2025	26/02/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

CSIRT Toscana

CSIRT Toscana